您好,欢迎访问中国矿业大学徐海学院图文信息中心网站
服务指南
关于Snapd本地权限提升漏洞(CVE-2022-3328)的预警提示
发布时间:2022-12-05
作者: 图档网信办公室
浏览次数:72

一、漏洞详情

Snap是适用于桌面、云和物联网的应用程序包,可自动更新、易于安装、安全、跨平台且无依赖性。它们每天都在数百万个Linux系统上使用,在Ubuntu系统上默认安装,该漏洞主要影响主流的Ubuntu系统。

Snapd本地权限提升漏洞(CVE-2022-3328):该漏洞是由于受影响版本的Snapd存在竞争条件漏洞,当用户创建私有快照时,非特权攻击者可以结合multipath授权绕过漏洞(CVE-2022-41974)multipath符号链接攻击漏洞(CVE-2022-41973)/tmp目录绑定到文件系统中的任意目录,进而将普通用户权限提升至ROOT权限。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

2.54.3 <= snapd < 2.57.6

Ubuntu2.54.3+ubuntu <= snapd < 2.57.5+ubuntu

三、修复建议

目前Snap官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载链接:https://github.com/snapcore/snapd/releases/tag/2.57.6


服务指南
热门栏目
中国矿业大学徐海学院 版权所有 Copyright © 2019 All Rights Reserved. 苏公网安备 32031202000355号  苏ICP备10207513号